Tengo un volcado pasivo de tráfico de cliente / servidor donde los paquetes están cifrados con el paquete de cifrado
Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)
Con un ataque Logjam logré encontrar la clave privada DH.
¿Cómo configuro Wireshark para descifrar los paquetes?
como se documenta en esta publicación , Wireshark admite varias opciones para proporcionar secretos para habilitar el descifrado TLS. En este caso, sugeriría el uso de la clave PMS_CLIENT_RANDOM que asigna los bytes aleatorios desde el mensaje de saludo del cliente al secreto del maestro del maestro (ambos están codificados en hexadecimal).
Para el intercambio de claves DH, el secreto de premaster es el secreto DH compartido. Uso de su valor de DH privado y los parámetros y valores públicos del mensaje ServerKeyExchange (consulte RFC 5246, página 51 ), puede calcular el secreto compartido. (Esto supone un DH efímero usando campos finitos, para ECDHE, consulte RFC 4492, Sección 5.4. en su lugar).
Luego, después de calcular el secreto compartido, debe codificarlo adecuadamente (consulte RFC 5246, Sección 8.1. 2. ):
Se realiza un cálculo convencional de Diffie-Hellman. los la clave negociada (Z) se utiliza como pre_master_secret y se convierte en el master_secret, como se especifica anteriormente. Bytes iniciales de Z que contienen todos los bits cero se eliminan antes de que se utilice como pre_master_secret.
Suponiendo que haya encontrado los secretos, puede escribir un archivo de texto que tenga el siguiente aspecto:
PMS_CLIENT_RANDOM 9c39b93ced5c48db094a502f7ed4ef6b77a1ccb751964c04cac8c7e75837ddc8 2b1f6108824ef0c7e38443dda437c43177d8a1ac73221b6515c9df7d854bc503
y luego configure Wireshark como de costumbre a través de la preferencia del protocolo SSL "(Pre) Master Secret log filename". Si falla, puede establecer la opción de depuración en las preferencias del protocolo SSL y leerla para obtener más sugerencias.
Lea otras preguntas en las etiquetas diffie-hellman wireshark logjam